Risque
- Déni de service à distance
Systèmes affectés
- OpenSSL versions 0.9.8h à 0.9.8q ;
- OpenSSL versions 1.0.0 à 1.0.0c.
Résumé
Une vulnérabilité dans OpenSSL permet à une personne malintentionnée de provoquer un déni de service à distance.
Description
Une vulnérabilité dans OpenSSL permet de provoquer un déni de service à distance en envoyant des messages spécialement conçus au serveur.
Cette faille ne concerne que les serveurs utilisant la fonction SSL_CTX_set_tlsext_status_cb(). Les versions 2.3.3 et suivantes du serveur Apache httpd sont notamment concernées.
Solution
Mettre à jour en version 1.0.0d ou en version 0.9.8r.
Documentation
- Avis de sécurité OpenSSL du 08 février 2011 http://www.openssl.org/news/secadv_20110208.txt
- Bulletin de sécurité Fedora FEDORA-2011-1255 du 10 février 2011 : http://lists.fedoraproject.org/pipermail/package-announce/2011-March/056102.html
- Bulletin de sécurité Fedora FEDORA-2011-1273 du 10 février 2011 : http://lists.fedoraproject.org/pipermail/package-announce/2011-February/054007.html
- Bulletin de sécurité Fedora FEDORA-2011-5865 du 23 avril 2011 (mingw32-openssl) : http://lists.fedoraproject.org/pipermail/package-announce/2011-May/059313.html
- Bulletin de sécurité Fedora FEDORA-2011-5876 du 23 avril 2011 (mingw32-openssl) : http://lists.fedoraproject.org/pipermail/package-announce/2011-May/059314.html
- Bulletin de sécurité Mandriva MDVSA-2011:028 du 15 février 2011 : http://www.mandriva.com/support/security/advisories/?name=MDVSA-2011:028
- Bulletin de sécurité Ubuntu USN-1064-1 du 15 février 2011 : http://www.ubuntu.com/usn/usn-1064-1
- Référence CVE CVE-2011-0014 https://www.cve.org/CVERecord?id=CVE-2011-0014
